テナント アカウントでは、Simple Storage Service(S3)REST APIまたはSwift REST APIを使用して、StorageGRIDシステムでオブジェクトの格納や読み出しを行うことができます。
各テナント アカウントで使用できるプロトコルは1つで、アカウントの作成時にグリッド管理者が指定します。両方のプロトコルを使用してStorageGRIDシステムに対するオブジェクトの格納と読み出しを行うには、テナント アカウントが2つ(S3のバケットとオブジェクト用に1つ、Swiftのコンテナとオブジェクト用に1つ)必要です。それぞれのテナント アカウントに専用のフェデレーテッド / ローカル グループ、ユーザ、コンテナ(S3の場合はバケット)、オブジェクトがあります。
必要に応じて、テナント アカウントを使用して、格納されているオブジェクトをエンティティごとに分離できます。たとえば、次のようなユースケースのそれぞれに、複数のテナント アカウントを使用して対応できます。
テナント アカウントの作成
テナント アカウントは、
StorageGRIDのグリッド管理者が
Grid Managerを使用して作成します。グリッド管理者は、テナント アカウントを作成する際に次の情報を指定します。
- テナント アカウントの表示名
- テナント アカウントで使用されるクライアント プロトコル(S3またはSwift)
- S3テナント アカウントの場合:テナント アカウントにプラットフォーム サービスを使用する権限があるかどうか。プラットフォーム サービスの使用が許可されている場合は、グリッドがその使用をサポートするように設定されている必要があります。
- (オプション)テナント アカウントのストレージ クォータ(テナントのオブジェクトに使用できる最大のギガバイト数、テラバイト数、またはペタバイト数)。テナントのストレージ クォータは、物理容量(ディスクのサイズ)ではなく、論理容量(オブジェクトのサイズ)を表します。
- StorageGRIDシステムでシングル サインオン(SSO)が使用されていない場合は、テナント アカウントが独自のアイデンティティ ソースを使用するのかまたはグリッドのアイデンティティ ソースを共有するのか、およびテナントのローカルrootユーザの初期パスワード。
- SSOが有効になっている場合は、テナント アカウントを設定するためのRoot Access権限が割り当てられているフェデレーテッド グループ。
S3テナントの設定
S3テナント アカウントが作成されたら、
Tenant Managerにアクセスし、主に次のタスクを実行できます。
- アイデンティティ フェデレーションの設定(グリッドとアイデンティティ ソースを共有する場合を除く)、またはローカル グループおよびユーザの作成
- S3アクセス キーの管理
- S3バケットの作成と管理
- プラットフォーム サービスの使用(有効な場合)
- ストレージ使用状況の監視
注意:Tenant Managerを使用してS3バケットを作成、管理できますが、オブジェクトを取り込んで管理するには、S3アクセス キーを取得し、S3 REST APIを使用する必要があります。
Swiftテナントの設定
Swiftテナント アカウントを作成したら、Root Access権限を持つユーザは
Tenant Managerにアクセスして、次のようなタスクを実行できます。
- アイデンティティ フェデレーションの設定(グリッドとアイデンティティ ソースを共有する場合を除く)、およびローカル グループとユーザの作成
- ストレージ使用状況の監視
注意:SwiftユーザがTenant Managerにアクセスするには、Root Access権限が必要です。ただしRoot Access権限では、Swift REST APIに認証してコンテナを作成したりオブジェクトを取り込んだりすることはできません。Swift REST APIに認証するにはAdministrator権限が必要です。